L’aumento dei prezzi delle criptovalute ha portato a una maggiore richiesta di attrezzature per il mining; tuttavia, le restrizioni dovute al COVID-19 hanno portato anche a un calo dell’offerta. Come risultato, nel mondo esiste nuovamente una carenza di potenti schede video e di altre attrezzature per il mining di criptomonete, con tempi di attesa per le nuove consegne che possono protrarsi per mesi. I criminali informatici, come sempre, stanno cercando di approfittare di questa crisi per ottenere un ritorno economico.
Per esempio, i truffatori hanno sottratto criptovalute dagli acquirenti di queste attrezzature sfruttando un popolare servizio di Google e una copia del sito web di un produttore di strumenti per il mining.
Come funziona la truffa
Gli scammer e gli spammer hanno a lungo fatto affidamento sui servizi di Google (Moduli, Documenti, Calendario, Foto e altri) per la loro capacità di inviare notifiche automatiche a chiunque con cui l’autore abbia condiviso un file (o una voce del calendario, etc.) o che sia stato menzionato. Le e-mail non provengono dall’autore reale, ma addirittura da Google, quindi i filtri antispam in genere le lasciano passare.
In questo caso, i potenziali miner di criptovalute stanno ricevendo e-mail secono le quali sono stati menzionati in un file di Google Docs da un utente con il nickname BitmainTech (il nome di un vero produttore di attrezzature per il mining). Il nome dalla reputazione rispettabile, @docs[.]google[.]com, presente nel campo del mittente aiuta a far abbassare la guardia del destinatario. Il nome utente visualizzato è quello che desidera il mittente, e il vero indirizzo e-mail del richiedente rimane invece nascosto.
L’esca prende la forma di un annuncio di vendita di dispositivi Antminer S19j per il mining. Spacciandosi per l’ufficio vendite di Bitmain, i truffatori confermano che l’attrezzatura è disponibile per essere ordinata ma che il tempo sta finendo; le scorte sono limitate e la consegna avviene in base all’ordine di acquisto. Il testo è pieno di dettagli e cifre che ispirano fiducia.
Lo stesso testo appare nel file di Google Docs, solo con un link attivo che porta, attraverso una catena di reindirizzamenti, a bitmain[.]sa[.]com, un clone del sito ufficiale bitmain[.]com (notare le differenze nell’indirizzo). Un test su WHOIS rivela che il dominio del sito falso è stato registrato a marzo 2021.
Per una maggiore credibilità, i criminali informatici utilizzano il protocollo HTTPS. I lettori di questo blog sanno già che l’HTTPS protegge i dati dall’intercettazione mentre viaggiano dall’utente al sito, ma non garantisce che un sito sia in buona fede. Se il sito di destinazione è dannoso, usare un protocollo di questo tipo significa solo che i dati viaggeranno in modo sicuro verso i criminali informatici.
Sul sito reale di Bitmain, al momento della pubblicazione, il pulsante Acquista era inattivo perché l’ultimo lotto Antminer S19j era già stato preso; il sito non prevede nuove consegne prima di ottobre. Ma sulla pagina falsa, l’ambito dispositivo per il mining passa direttamente nel carrello e per lo stesso prezzo di quella vera, a 5.017 dollari.
Per procedere al pagamento, la vittima deve accedere o registrarsi. Ci sono due possibili ragioni per implementare questo requisito: per sembrare autentici o per costruire un database di indirizzi e password per hackeraggi successivi degli account. Nonostante la registrazione (attraverso un indirizzo e-mail usa e getta, ovviamente) non abbiamo mai ricevuto un messaggio di conferma della registrazione.
In ogni caso, il sistema permette all’utente di registrarsi e completare l’ordine. La procedura di login sembra abbastanza convincente.
Nella fase successiva, alla vittima viene chiesto di fornire un indirizzo di consegna. Forse i truffatori stanno raccogliendo anche questi dati per rivenderli.
La maggior parte dei produttori di strumenti per il mining, tra cui Bitmain, si trovano in Cina. Spostare attrezzature pesanti e costose dalla Cina non è di certo economico, ma i criminali informatici fanno pagare circa cinque dollari per la spedizione, indipendentemente dalla destinazione e dal corriere (UPS, DHL o FedEx).
Successivamente, alla vittima viene chiesto di scegliere un metodo di pagamento. Devono usare criptomonete ma possono scegliere tra BTC, BCH, ETH o LTC.
L’ultimo e più importante passo è effettuare il pagamento. I criminali informatici forniscono i dettagli del cryptowallet e informano che la transazione deve essere completata entro due ore, altrimenti l’ordine sarà annullato. Da notare che il costo della consegna, anche se contenuto, non compare nella fattura.
Dopo aver fatto spendere alla vittima una quantità considerevole di criptovaluta, tutta l’aria di credibilità garantita fino a quel momento si dissolve nel nulla. L’account personale dell’utente non contiene i dati dell’ordine e i pulsanti sono inattivi.
Come proteggersi dalle truffe
Per evitare di essere ingannati, stare all’erta è l’unica opzione:
- Diffidate sempre e prestate particolare attenzione se qualcuno cerca di mettervi fretta nel concludere un pagamento. In questo caso, se all’improvviso è reperibile un prodotto molto difficile da trovare, è come se riceveste la notizia altrettanto inattesa di aver vinto la lotteria (doppiamente sospetta se non avete nemmeno comprato un biglietto);
- Controllate il sito ufficiale. Se ricevete un’offerta da una marca nota, entrate nel sito ufficiale e verificate se le informazioni sulla promozione sono corrette. Esaminate sempre la barra degli indirizzi;
- Utilizzate un prodotto di sicurezza avanzato che vi protegga dal phishing e dalle truffe online, come Kaspersky Internet Security.